偽のオファーがどのようにAxie Infinityから5.4億ドルを盗んだのか?
TechFlow厳選深潮セレクト
偽のオファーがどのようにAxie Infinityから5.4億ドルを盗んだのか?
Offerにトロイの木馬を隠す。
Web3業界の深掘り報道に専念し潮流を洞察
原文作者:Ryan Weeks
編集: Katie 辜
今年初め、ハッカーはある架空の企業の求人に応募するようAxie Infinityの上級エンジニアを騙し、その結果Axie Infinityは5億4000万ドル相当の暗号資産を失うことになった。以下はThe Blockが報じたAxie Infinityへのハッキング事件の詳細である。
就職活動において、Axie Infinityの上級エンジニアが経験した出来事ほど刺激的な話はほとんどない。彼が架空の企業に加入しようとしたという関心が、暗号業界最大級のハッキング事件の一つを引き起こしたのである。
昨年11月、Axie Infinityのゲーム内NFTの日次アクティブユーザー数は最高270万人に達し、週間取引高は2億1400万ドルに上った(いずれもその後大幅に低下している)。
そして今年3月、Play-to-Earn(P2E)ブロックチェーンゲームのリーダー的存在であるAxie Infinityのイーサリアムサイドチェーン「Ronin」は、5億4000万ドル相当の暗号資産を失った。アメリカ政府は後にこの事件を北朝鮮のハッカー集団「Lazarus」と結びつけたものの、攻撃の全容についてはこれまで明かされていなかった。実際、Roninを崩壊させたのは単なる偽の求人広告だった。事情に詳しい2人の情報筋によると、Axie Infinityの上級エンジニアは実際に存在しない企業の職に応募するよう騙されたという。事件のセンシティブさから、これら2人は匿名を希望している。
情報筋によれば、今年初頭、自称その偽企業の代表者を名乗る人物がLinkedInとWhatsAppを通じて、Axie Infinityの開発会社Sky Mavisの従業員に接触し、新たな仕事の機会で彼を誘惑した。複数回の面接を経た後、Sky Mavisのエンジニアは非常に高額な報酬の提示を受けたという。
その偽のオファーはPDFファイルとして送信され、エンジニアがそのファイルをダウンロードした瞬間、トロイの木馬がRoninシステムに侵入することになった。これにより、ハッカーはRoninネットワークにある9つの検証ノードのうち4つを掌握し、完全支配まであと1つという状態となった。
Sky Mavisは4月27日に公開したブログ記事で今回のハッキングについて分析し、「社員はさまざまなソーシャルチャネルを通じて高度なフィッシング攻撃を継続的に受けており、その中で一人の社員が攻撃を受けた。当該社員は現在Sky Mavisには在籍していない。攻撃者はそのアクセス権を利用してSky MavisのITインフラに侵入し、検証ノードへのアクセスを獲得した」と述べている。
検証ノードはブロックチェーンにおいて、トランザクションブロックの生成やデータオラクルの更新など、さまざまな機能を果たす。Roninは「承認済みプルーフ(Proof of Authority)」と呼ばれるシステムを使用しており、取引の署名を9つの信頼できる検証者に集中させている。
ブロックチェーン分析企業Ellipticは今年4月のブログ記事で、「9つの検証者のうち5人が承認すれば、資金の移動が可能になる。攻撃者は5つの検証ノードの秘密鍵を手に入れることに成功し、暗号資産を盗むのに十分な権限を得た」と説明している。
しかし、偽の求人広告によってRoninシステムに侵入したハッカーは、当初9つの検証ノードのうち4つしか掌握しておらず、Roninシステムを完全に制御するためにはあと1つ必要だった。
事後の分析で、Sky Mavisはハッカーがゲームエコシステムを支援する組織であるAxie DAOを利用して盗難を完了したことを明らかにした。Sky Mavisは2021年11月、取引負荷の問題に対処するためにAxie DAOの支援を求めたことがあった。
「Axie DAOはSky Mavisがさまざまな取引に代行署名できるように許可していた。2021年12月に一時停止されたが、アクセス許可リストは取り消されなかった」とSky Mavisはブログで述べた。「攻撃者がSky Mavisシステムに侵入すると、Axie DAOの検証ノードから署名を取得できたのだ。」
ハッキングから約1か月後、Sky Mavisは検証ノードの数を11に増やし、長期的には100以上を目指すとブログで述べた。
取材に対し、Sky Mavisは今回のハッキングの詳細についてコメントを拒否した。LinkedInも繰り返しコメント要請に対して応じなかった。
本日早些時候、ESETの調査機関が調査結果を公表し、北朝鮮のハッカー集団LazarusがLinkedInとWhatsAppを使って採用担当者を装い、航空宇宙および防衛産業の請負業者を標的にしていることを明らかにした。しかし、同報告書はこの手法をSky Mavisのハッキング事件とは結びつけていない。
今年4月初め、Sky MavisはBinance主導の資金調達ラウンドで1億5000万ドルを調達した。調達資金は同社の準備資金とともに、この脆弱性の影響を受けたユーザーへの補償に使われる予定だ。Axie Infinityは最近、6月28日からユーザーへの資金返還を開始すると発表した。ハッキング発生時に突然停止したRoninのイーサリアムブリッジも先週再開された。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
